Passer au playerPasser au contenu principalPasser au pied de page
Capital
  • hier

Catégorie

📺
TV
Transcription
00:00...
00:00Bonjour, bienvenue à cette table ronde.
00:17Cloud Public, comment assurer la protection et la résilience des données ?
00:22Pour discuter de cette thématique centrale et d'importance,
00:26nous avons avec nous Blaise Vignon, vous êtes le directeur produit de S3NS,
00:32qui est une fidèle de Thalès.
00:33Vous êtes responsable de la définition et du marketing de l'offre produit de l'entreprise.
00:39Nous avons aussi avec nous Servane Augier, bonjour.
00:41Bonjour.
00:42Vous êtes directrice commerce et marketing chez Newspot.
00:46Et enfin, nous avons avec nous Romain Delaurieux, j'ai bien prononcé.
00:50Bonjour, vous êtes responsable de la partie stratégique,
00:55pardon, des participations stratégiques, c'est ça.
00:57Des partenariats stratégiques.
00:58Des partenariats stratégiques, excusez-moi, chez Thalès,
01:00dans la division Produits Cyber Sécurité.
01:03Bonjour.
01:04Peut-être pour lancer ce sujet, effectivement, on va enfoncer quelques portes ouvertes,
01:08mais il y a aussi des gens qui nous écoutent,
01:10qui ne sont pas forcément des grands spécialistes,
01:12mais effectivement, que ce soit photos, documents, mails, logiciels pro,
01:15aujourd'hui, quasi quotidiennement, on stocke des données,
01:19que ce soit d'ailleurs pour le public ou les grandes entreprises,
01:22qui transitent tous par des serveurs, parfois des milliers de kilomètres,
01:28avec la grande question, effectivement, parce que ce sont souvent des données sensibles,
01:31comment protéger ces données qu'on leur confie à ses fournisseurs,
01:36et surtout, comment s'assurer qu'elles seront toujours disponibles demain et après-demain.
01:41Blaise Vignon, peut-être pour commencer, et pour les non-spécialistes,
01:44est-ce que vous pouvez nous rappeler quelle est la différence entre cloud public et cloud privé ?
01:48Tout à fait, et peut-être juste avant ça, signer qu'une entreprise s'appelle effectivement S3NS,
01:54mais on attend, ça le prononce, c'est SANS.
01:57SANS, pardon.
01:58SANS. Alors, effectivement, on pose la question du cloud public par rapport au cloud privé,
02:04qui est une opposition qu'on entend souvent dans le débat,
02:06et de façon très simple, le cloud privé, c'est le cloud qui m'appartient à moi en tant que tel,
02:10et le cloud public, c'est le cloud que je vais acheter auprès d'un fournisseur.
02:13Et je pense que la bonne distinction, elle vient non seulement le cloud public et le cloud privé,
02:19mais elle vient le cloud d'hyperscaler contre les clouds plus classiques,
02:23qui viennent plutôt du domaine du hosting, qui sont juste les clouds dédiés à l'infrastructure,
02:27qu'on appelle le IaaS.
02:29Et pourquoi est-ce que j'en parle ?
02:29On parle aujourd'hui de la protection des données,
02:32et pourquoi est-ce qu'on veut protéger des données ?
02:33On veut protéger des données pour les valoriser.
02:37Et du point de vue de la valorisation des données,
02:39l'innovation sur les 20 dernières années, elle est beaucoup venue des hyperscalers.
02:42On parle de Big Data, on parle d'IA.
02:45Par exemple, Spotify a entièrement migré en hyperscaler.
02:50De la même manière, Amazon...
02:51Alors, si vous voulez rappeler, qu'est-ce qu'un hyperscaler pour les gens qui sont...
02:54Je pense aux hyperscalers, les offres d'hyperscaler aujourd'hui,
02:56c'est surtout les offres de Google, Amazon et Microsoft.
02:59Et donc, l'innovation sur la donnée, elle est venue des hyperscalers.
03:06Elle est venue des hyperscalers par le Big Data il y a une certaine année,
03:09et par l'IA aujourd'hui.
03:11Et aujourd'hui, si on veut tirer parti pleinement de ces données,
03:15on a besoin d'offres d'hyperscalers.
03:17Mais la difficulté que rencontrent les acteurs qui ont besoin de protéger la donnée
03:21et de la valoriser, c'est qu'effectivement,
03:24les offres qualifiées comme une cloud hyperscaler,
03:27aujourd'hui, il n'y en a pas.
03:28Nous, on vit d'avoir une technologie basée sur celle de Google,
03:30disponibilité.
03:31D'accord. Très bien. Merci beaucoup.
03:34Romain Abdelaurieux, effectivement, une des questions centrales,
03:37c'est comment ces fournisseurs, en tout cas,
03:40vous pouvez rassurer les gens qui nous les écoutent,
03:42comment les fournisseurs de cloud, notamment ces hyperscalers,
03:45parviennent à assurer la sécurité de leurs clients ?
03:48Je crois qu'il y a plusieurs éléments de réponse à cette problématique.
03:53Premièrement, il y a un des points statistiques qui est,
03:57globalement, dans le cloud, il y a une différence de responsabilité.
04:01Donc, le cloudeur, le fournisseur de services de cloud,
04:05international ou européen ou français,
04:08est responsable de la sécurisation de l'infrastructure en tant que l'aide.
04:13Il est...
04:14Ça a été un des points d'opposition au modèle du cloud,
04:18il y a une dizaine d'années, en disant,
04:19je ne peux pas laisser partir mes données vers des systèmes tierces,
04:23gérés par des tierces.
04:25Donc, en fait, il y a eu un investissement natif
04:26dès le départ, de la part de toutes les personnes,
04:30de toutes les entreprises qui tournent autour des services de cloud,
04:33qu'ils soient internationaux ou européens ou français,
04:36dans l'intégration des services de sécurité
04:39au sein même d'une stack cloud en tant que telle.
04:43puisque c'était, en fait, un des objections commerciales données par les clients.
04:47Donc, en fait, dès le départ, il y a eu un certain investissement autour de ça.
04:51Ensuite, il y a une problématique, de toute façon,
04:53dans le cloud, de partage de responsabilités.
04:56Donc, le client final reste responsable des données
04:58qu'il stocke ou qu'il traite
05:01avec l'utilisation de systèmes tierces type cloud.
05:04C'est-à-dire qu'il est, lui aussi, responsable d'une partie de la sécurité,
05:08si je comprends bien.
05:09Absolument.
05:09Il est absolument responsable de ça.
05:11Certains analystes parlent de 99% des problèmes
05:14qui arriveraient dans le cloud seraient dus aux clients finaux, en fait.
05:19Donc, il y a vraiment un impact important de cette responsabilité.
05:22Il est important que les clients comprennent cette responsabilité.
05:25Donc, on parle de résilience et de cybersécurité.
05:28Donc, ce qui est important de comprendre,
05:29c'est que l'ensemble de l'écosystème,
05:32que ce soit les fournisseurs de services de sécurité ou de produits,
05:36les fournisseurs de cloud en tant que tels
05:38et les clients eux-mêmes du cloud peuvent...
05:41Enfin, tout le monde a investi un petit peu dans la sécurité
05:44pour être sûr que les données soient traitées correctement.
05:48L'essentiel pour les clients est de comprendre
05:49quels sont les risques, quels sont les risques résiduels
05:52quand ils souscrivent à des services
05:54et en fonction du nombre et de la qualité du service
05:57auquel ils ont souscrit,
05:58de faire en sorte qu'eux-mêmes,
06:00imprimant des systèmes organisationnels ou techniques,
06:04des mesures techniques et organisationnelles
06:06pour pallier à ce qui reste,
06:08au risque résiduel qui reste sur des services.
06:13J'ai vu qu'en France, effectivement,
06:14il existait un label de confiance spécifique
06:17et qui va plus loin que les normes internationales en cours.
06:22Est-ce que... Alors là, j'ouvre la question à vous trois.
06:24Pourquoi ce label de confiance va plus loin
06:28et surtout en quoi il va plus loin ?
06:30Moi, je veux bien vous répondre parce qu'effectivement,
06:34NUMSPOT, on s'est engagé dans cette démarche
06:36et on a créé NUMSPOT pour aller vers cette qualification.
06:40Je pense que c'est également le cas pour Sens.
06:42Le constat, en fait, c'est que des risques autour de la donnée,
06:46il y en a de plusieurs ordres.
06:47Il y a des risques d'ordre juridique,
06:49il y a des réglementaires,
06:50des risques d'ordre technique
06:52et des risques d'ordre opérationnel.
06:54Et en fait, on pouvait...
06:56Il y avait des normes type ISO 27001
06:58mais qui n'allaient pas au bout d'apporter la réassurance
07:01sur le fait que le cloud provider met en place
07:04toutes les bonnes mesures pour couvrir l'ensemble de ces risques.
07:06C'est l'Agence nationale de sécurité des systèmes de l'information, l'ANSI,
07:10qui a mis en place ce référentiel,
07:12qui est un référentiel très, très exigeant,
07:14qui est aujourd'hui dans sa version 3.2,
07:16qui permet de dire qu'un prestataire
07:19qui a fait l'effort de passer cette qualification
07:21a mis en place des règles et apporte des garanties
07:25à la fois au niveau réglementaire, opérationnel et technique.
07:28Et donc, l'utilisateur peut aller sereinement utiliser le cloud provider
07:33en étant assuré que la protection des données
07:36va être à l'état de l'art.
07:37Ça ne l'empêchera pas, effectivement,
07:39d'avoir de son côté des mesures à prendre en termes de résilience,
07:42notamment pour s'assurer qu'il met en place des dispositifs actifs-actifs,
07:45en fait, tout ce qu'on peut faire dans le cloud.
07:47Mais à minima, grâce à ce tampon d'ANSI,
07:50il sait que le cloud provider lui apporte,
07:53dans un premier temps, déjà la souveraineté,
07:55c'est-à-dire la garantie réglementaire,
07:57le fait que les données qu'il stocke
07:59ne seront pas soumises aux lois extra-européennes.
08:03Et donc là, en fait,
08:04on pense typiquement aux lois qui sont le cloud act,
08:08ou l'article 702 de la loi FISA,
08:11qui sont des lois de surveillance américaines
08:12qui permettent de réquisitionner des données
08:14chez les fameuses hyperscalers
08:16sans que le propriétaire des données soit au courant.
08:19Donc typiquement, un des premiers volets réglementaires,
08:22c'est de protéger le client en lui disant
08:25« Dans un cloud provider, second cloud,
08:28qui est donc souverain parce qu'il a passé cette validation,
08:31il n'y a absolument aucun risque réglementaire. »
08:34Mais le référentiel va plus loin,
08:36il couvre également les sujets opérationnels et technologiques.
08:39– D'accord.
08:39Aujourd'hui, c'est un des labels les plus exigeants au monde.
08:42Enfin, je ne sais pas d'ailleurs s'il y a d'autres labels
08:44de ce type-là dans d'autres pays.
08:45– Oui, en fait, aujourd'hui, il y a d'autres pays.
08:47L'Allemagne, il y a l'UC5, il y a le BSI, je crois, en Espagne.
08:51Donc il y a pas mal de labels.
08:53Le second cloud a la réputation d'être le plus exigeant.
08:56Et donc il y a des réflexions qui sont menées au niveau de l'Europe
08:58pour établir un schéma européen, l'EUCS,
09:02un schéma européen de certification.
09:04Et donc avec des grands débats pour savoir quels sont les différents niveaux.
09:08Donc il devrait y en avoir trois qui sont des niveaux techniques.
09:11Et la France qui milite depuis un certain nombre d'années
09:13pour qu'il y ait également un niveau I+,
09:16qui vient accompagner le plus haut niveau technique,
09:19donc opérationnel et physique,
09:21qui serait un niveau qui emporterait ces critères de souveraineté
09:25pour dire à l'échelle européenne également
09:27que dans un schéma de certification,
09:29non seulement on couvre ces critères opérationnels et techniques,
09:33mais on peut aussi faire le choix de dire que dans une consultation,
09:36on veut un prestataire qui est souverain européen.
09:39– Je reviens un petit peu en arrière, effectivement,
09:41où vous évoquiez le fait que les juristes se l'appellent
09:45de nous protéger de ce qu'on appelle
09:47l'extraterritorialité du droit américain notamment.
09:51Pour les gens qui vont nous regarder,
09:52qui ne sont pas forcément des spécialistes encore une fois,
09:55c'est comme ça qu'une banque comme BNP Paribas
09:57a écopé d'une amende de plusieurs milliards,
10:00pas que, il y a eu plusieurs groupes français.
10:02On sait que c'est une arme de guerre commerciale,
10:05soit disons les choses clairement,
10:07qui permet aux Etats-Unis,
10:08il suffit, vous m'arrêtez, je ne suis pas spécialiste,
10:11qu'un mail transite par un opérateur américain
10:14pour qu'un juge américain puisse tirer le fil et revenir.
10:19Ça, avec ce label français de confiance,
10:24a priori, ça vous protège ?
10:26– Absolument.
10:26En fait, avec le référentiel,
10:28la garantie elle porte à plusieurs niveaux,
10:33elle porte sur le fait que le fournisseur lui-même
10:35et son entité capitalistique,
10:39le fait qu'il n'est pas soumis à des lois extra-américaines en l'occurrence,
10:43on parle surtout des lois américaines,
10:45parce que personne ne pense mettre ces données sensibles
10:47chez les Chinois aujourd'hui,
10:48ce n'est pas tellement le sujet.
10:49– Voilà, c'est ça.
10:50– Mais typiquement, le montage de sens,
10:52en fait, le montage de sens,
10:54c'est une façon aussi de dire,
10:56vous bénéficiez des qualités des hyperscalers,
10:59en l'occurrence Google,
11:01dans un environnement qui vous protège en termes de souveraineté.
11:03Donc le label, il apporte cette garantie
11:07et il apporte également des garanties
11:09que les données ne vont pas transiter,
11:11parce que ce dont vous parlez,
11:12en fait, c'est un deuxième sujet réglementaire
11:14qui est que se passe-t-il quand la donnée transite outre-Atlantique ?
11:18Et là, en fait, on est aujourd'hui dans le cadre
11:20d'un accord qui vient d'être signé en juillet 2023
11:22qui fait la suite du...
11:26Alors là, pour le coup, ceux qui ne connaissent pas,
11:28c'était ce qui s'appelait le Safe Harbor, le Privacy Ship,
11:30qui sont des accords européens
11:31qui encadrent le mouvement de données vers les États-Unis,
11:34notamment pour les données privées,
11:36et en fait, qui avaient été annulés
11:38parce qu'on considère qu'il n'y a pas adéquation de traitement,
11:41c'est-à-dire qu'on considère que les données privées des Européens
11:43ne sont pas au même niveau de sécurité
11:46quand elles sont outre-Atlantique
11:47par rapport à quand elles restent sur notre territoire.
11:50Donc ça avait été invalidé,
11:51mais il y a un accord qui a été reçu en juillet 2023
11:53et qui est aujourd'hui écorné
11:56dans le sens où il est...
11:58Cet accord, il tient parce qu'il y a une commission paritaire
12:01qui a été mise en place aux États-Unis
12:02pour garantir qu'il y aurait adéquation de traitement
12:05des données des Européens.
12:06Et cette commission paritaire n'est plus paritaire
12:08puisque les trois membres démocrates de la commission
12:10ont été révoquées par le nouveau président américain.
12:13Oui, effectivement, là, effectivement, c'est ça.
12:15Il y a toujours la...
12:17J'ai l'inconnu Donald Trump,
12:19mais là, on ne va pas rentrer
12:20parce qu'effectivement, par essence,
12:21on ne sait pas ce qu'il va faire demain
12:23et encore moins après-demain.
12:25Peut-être...
12:26Allez-y, non.
12:27Juste un commentaire sur le DPF,
12:29sur le Data Progressive Framework
12:30et donc le cadre législatif américain
12:33qui encadre l'import des données européennes aux États-Unis.
12:38C'est important de comprendre qu'il s'agit d'un accord
12:40que les entreprises de droit américains peuvent souscrire,
12:46qu'il s'agit de couvrir l'import des données
12:49de citoyens européens aux États-Unis.
12:52Il ne s'agit pas d'un cadre législatif
12:54qui permet aux entreprises européennes
12:56d'exporter, donc d'utiliser des cloud US, par exemple,
12:59pour exporter des données.
13:01Il y a quand même une nuance qui est assez importante
13:03et qui est globalement méconnue
13:05sur l'applicabilité du DPF
13:09qui, en fait, ne couvre pas beaucoup
13:11les use cases, notamment, qu'on appelle B2B,
13:14c'est-à-dire des entreprises européennes
13:15qui vont utiliser des entreprises américaines
13:17pour faire le traitement de données.
13:20Ça ne couvre pas cette action
13:22qui est un export de data à l'extérieur du monde.
13:24D'accord.
13:24C'est une nuance d'importance, effectivement.
13:28Ça renforce l'idée que, pour se protéger,
13:32dans tous les cas, il faut privilégier
13:34des cloud providers qui sont souverains,
13:36c'est-à-dire qui ne vont pas être exposés
13:38à toutes ces lois américaines.
13:40Tout à fait.
13:41Blaise Union, si j'ai bien compris,
13:42effectivement, votre solution dans le sens,
13:44c'est notamment, et c'est construit là-dessus,
13:47sur cette idée, ce que vous aviez évoquée
13:49un petit peu au début,
13:51sur profiter du meilleur,
13:53de ce que peut offrir le marché,
13:54tout en ayant, effectivement,
13:56un cloud souverain.
13:57Est-ce que, sans rentrer dans la technique,
13:59mais un petit peu, quand même,
13:59vous pouvez nous expliquer comment on arrive
14:01à marier ces deux choses
14:05qui peuvent, a priori,
14:06paraître un peu en contradiction ?
14:08Bien sûr.
14:09Effectivement, donc,
14:10Sens, c'est une filiale de Thalès
14:11qui est entièrement contrôlée par Thalès.
14:13Ça, c'est très important,
14:14parce que Serben en parlait tout à l'heure.
14:16La qualification Secnum Cloud,
14:18elle est opérationnelle et technique,
14:20mais elle est aussi juridique.
14:21C'est-à-dire que le contrôle de la technologie,
14:25qui contrôle la technologie,
14:26est un élément fondateur de cette qualification.
14:30Donc, la façon dont Sens a été monté,
14:33elle ressemble d'ailleurs à l'ensemble
14:35des acteurs Secnum Cloud,
14:37Sens est une entreprise de droit français
14:39contrôlée par des Français.
14:43Et dans cette entreprise,
14:44ce que Google vient faire,
14:46c'est fournir la technologie.
14:47De la même manière que chez NumSpot,
14:49la technologie est fournie.
14:50J'avoue que je ne connais pas
14:51votre stack techno.
14:52En fait, le stack techno,
14:53c'est surtout de l'indépendance technologique
14:55ou de beaucoup d'open source.
14:56C'est une autre étape dans la surveillance technique.
15:00Voilà, donc, dans notre cas,
15:01la technologie est fournie par Google.
15:03Et elle nous est livrée.
15:05On a l'opportunité de l'auditer,
15:07de l'inspecter.
15:08Quand vous dites la technologie,
15:10on parle de quoi exactement ?
15:12Donc, Google est un des trois hyperscalers
15:14dont je parlais.
15:15Et leur plateforme d'hyperspilling
15:18s'appelle Google Cloud,
15:19de façon très imaginative.
15:23Et donc, ce qu'ils nous fournissent,
15:24c'est une version de Google Cloud
15:27qui est opérée par Sens déjà aujourd'hui
15:30et que nous sommes en train de qualifier.
15:31D'accord.
15:32Et donc, l'objectif de Sens,
15:34c'est de fournir quelque chose
15:35qui est techniquement équivalent à Google Cloud.
15:40Ok.
15:41Très bien.
15:43Une autre question, évidemment,
15:44c'est que quand on confie ces données sensibles
15:47pour les entreprises
15:47ou précieuses pour les particuliers,
15:50comment est-ce qu'on peut être certain,
15:51pour le coup,
15:52c'est une question de déossien
15:53que je me pose moi,
15:54que tout ne va pas disparaître
15:56en cas de panne géante,
15:57de cyberattaque,
15:58de catastrophes naturelles
16:00parce que malheureusement,
16:01il y en a de plus en plus,
16:01incendies, inondations, etc.
16:03Est-ce que vous pouvez nous rassurer ou pas ?
16:08Si, si, me rassurer.
16:09Romain, c'était plutôt une question pour vous
16:11mais elle est ouverte, évidemment.
16:13Globalement, moi, je travaille un peu,
16:15enfin, beaucoup à l'international,
16:16donc pas uniquement en France
16:17et donc le modèle de résilience
16:19qui est poussé aujourd'hui
16:20par certains de nos textes de régulation,
16:22on a mis beaucoup de textes
16:23dans le milieu financier avec Dora
16:25ou dans les secteurs globales
16:27avec NIS2, NIS2,
16:29poussent ces cadres réglementaires,
16:32poussent ces entreprises
16:32à avoir un plan de résilience
16:34qu'on appelle la résilience
16:35et la résilience, elle, à plusieurs niveaux.
16:37Elle est au niveau de la protection des données,
16:39on en a parlé jusqu'à maintenant.
16:41Il y a, de façon systématique, en Europe,
16:44l'utilisation de mesures techniques organisationnelles,
16:47soit des mesures organisationnelles
16:48en faisant appel à des acteurs locaux
16:51au niveau européen ou au niveau français,
16:53comme des représentants ici,
16:55également des mesures techniques
16:57avec l'utilisation notamment de cryptographie
16:59qui permet de créer une enveloppe
17:02en gros autour d'une application
17:03ou d'une donnée
17:04qui est sensible
17:06et qui veut faire tourner
17:07dans des systèmes tierces.
17:09Il y a également la problématique
17:10de ce qu'on appelle la résilience
17:12plutôt opérationnelle.
17:14Et là-dessus, encore une fois,
17:14il y a plusieurs risques
17:15qui sont associés à ça.
17:17Il y a un risque de redondance
17:19pure et simple,
17:20c'est-à-dire un système informatique
17:21qui est critique,
17:22qui doit être installé
17:23et disponible
17:23depuis plusieurs endroits,
17:25par exemple,
17:26plusieurs centres de données.
17:27Il y a également une problématique
17:30de résilience
17:30par rapport à des actes malveillants
17:33qui pourraient être effectués
17:34sur ces applications
17:35et surtout quand ces applications
17:36tournent sur des systèmes tierces,
17:39on doit s'appliquer
17:40à valider que le fournisseur,
17:43et donc c'est le cas aussi
17:44de Second Cloud qui est là pour ça,
17:45que le fournisseur fait
17:46les choses correctement
17:47et le fait au niveau
17:48de l'état de l'art
17:49et donc ça au niveau
17:52des différents data centers
17:53qu'on peut avoir par exemple
17:54au niveau de l'Europe
17:55et c'est quelque chose
17:56qui est assez important.
17:57Donc il y a vraiment
17:58deux aspects,
17:58la résilience opérationnelle
18:00qui est celle
18:01de la disponibilité
18:02des activités,
18:03des applications des données
18:04et puis la résilience
18:05plutôt cyber
18:06qui est celle
18:07de la protection des données
18:08et ces deux ensembles
18:10sont assez bien caractérisés
18:12aujourd'hui.
18:13Mais je pense que
18:14ici à table,
18:15on a des représentants
18:15des fournisseurs de services
18:17qui peuvent aussi appliquer.
18:18Peut-être,
18:19si je devais compléter,
18:20parce qu'évidemment
18:20sur la partie technique,
18:22la construction même du cloud
18:23qui consiste à dupliquer
18:25avec plusieurs zones
18:27de disponibilité,
18:28plusieurs centres de données.
18:30Donc ça évidemment,
18:31c'est un des intérêts
18:31de chaque new cloud
18:32entre autres de dire
18:33vous pouvez avoir
18:34parfaitement confiance
18:35parce que vos données
18:35sont en permanence
18:36à plusieurs endroits.
18:37Le risque zéro
18:39n'existe pas
18:39mais en tous les cas
18:40là, il n'est vraiment
18:41pas possible.
18:43Je voudrais juste,
18:44on le mentionnait tout à l'heure,
18:46les clients doivent être acteurs
18:48mais ce qui se passe
18:49avec toutes ces réglementations
18:51qui arrivent
18:51et qui leur imposent
18:52de renforcer
18:53la résilience des données
18:54et d'apporter
18:55de plus en plus de preuves
18:56que leurs données
18:56vont être pérennes,
18:58c'est qu'ils peuvent
18:59justement s'appuyer
19:00sur nos infrastructures
19:01pour venir faire
19:02une sauvegarde supplémentaire.
19:04Donc ça,
19:04c'est quelque chose
19:05qui aujourd'hui
19:06de plus en plus
19:07a besoin.
19:08On a des offres
19:09avec des partenaires français
19:11au sein d'État poste
19:12pour pouvoir proposer
19:13des choses qui automatisent
19:14et qui apportent
19:15un mode de sauvegarde
19:16de données,
19:17ce qu'on appelle
19:17le 3, 2, 2, 1,
19:18donc en fait
19:19un dernier point
19:20de sauvegarde supplémentaire
19:21pour être certain
19:22d'une résilience complète.
19:23Une redondance supplémentaire
19:25pour assurer la sécurité.
19:29Vous vouliez peut-être compléter ?
19:32Je pense qu'on a abordé
19:33les points principaux.
19:35Pour résumer,
19:36les clouders,
19:38Monsrott,
19:39Sens et tous les autres
19:40fournissent les briques
19:41qui permettent
19:42d'organiser sa résilience.
19:44La responsabilité finale
19:45de résilience
19:46est chez le client.
19:47On charge le client
19:47d'utiliser les meilleures briques.
19:48Donc, a priori,
19:50c'est quasi impossible
19:52de perdre
19:53ces données aujourd'hui.
19:54Est-ce qu'on peut résumer ?
19:57Alors, en appliquant
19:58une bonne hygiène
19:59autour de ces données,
20:01vraiment,
20:01le risque est au plus bas.
20:03Bon.
20:03Il y a deux niveaux
20:05de réponse.
20:06La perte de données,
20:07c'est soit la perte totale,
20:08c'est-à-dire
20:09l'absence de disponibilité
20:11des données.
20:12Les données ne sont plus
20:13disponibles à l'organisation.
20:14Et puis, il y a la perte
20:15au sens d'une attaque
20:19sur une donnée
20:20et donc les données
20:20partent vers quelqu'un.
20:22Elles sont encore disponibles
20:23à l'organisation,
20:24elles sont parties vers quelqu'un.
20:25Effectivement,
20:25il y a plusieurs aspects
20:26à cette perte de données.
20:28La partie résilience,
20:29redondance,
20:30c'est une chose
20:31que les services de cloud
20:32au sens large
20:33sont vraiment
20:33une solution essentielle
20:35pour apporter
20:36de la résilience
20:37au niveau de la disponibilité.
20:38C'est vrai qu'on n'a pas
20:39du tout abordé,
20:40je pense qu'il y avait
20:41à être ça,
20:41mais qu'on n'a pas abordé
20:42le sujet du hacking,
20:43de la cyber malveillance
20:45et le fait que typiquement,
20:47le fait d'utiliser
20:47des solutions de cloud
20:49comme la nôtre
20:49avec des solutions
20:51par exemple
20:51d'un partenaire
20:52à Tempo
20:52qui propose ça,
20:53ça permet de retrouver
20:54en arrière
20:55la version qui n'a pas été
20:56la version qui permet
20:58de réinstaller
20:59ces données,
21:00de réinstaller son applicatif
21:01avant l'intrusion.
21:03C'est ça,
21:04c'est-à-dire que
21:04si jamais effectivement,
21:07je ne sais pas si
21:07on parle de malware,
21:08enfin en tout cas,
21:09je vais parler de virus,
21:09pour moi ça sera plus simple,
21:11arrive et prend toutes
21:12vos données
21:13ou bloque toutes vos données,
21:14vous,
21:15vous avez la possibilité
21:15de réinstaller
21:16juste avant tout
21:17ce qui était...
21:18Absolument.
21:19Juste avant...
21:20On peut aller chercher
21:21la version qui permet
21:22de redémarrer
21:23en étant sur des données saines.
21:26C'est pour ça
21:27que je vous ai autant
21:27de dire que c'est impossible.
21:29Moi j'ai grandi
21:29dans un monde
21:30où c'était possible.
21:31Sur la porte
21:31de mon premier manager
21:32quand j'étais plus jeune ingénieur,
21:33il y avait écrit
21:34il y a trois choses de certaines,
21:35la mort,
21:36les impôts
21:36et la perte de données.
21:37C'est vrai qu'aujourd'hui
21:39avec le cloud,
21:40on a des outils
21:41pour gérer la perte de données.
21:42Donc c'est devenu
21:43des incidents
21:43qui sont devenus plus rares
21:44mais ça me demande
21:45quand même une vision
21:46sur tous les instants
21:46d'abord de nous autres
21:47clouders et des clouders.
21:49D'accord.
21:50Une dernière question,
21:51alors moi en préparant
21:53cette table ronde,
21:53j'ai découvert
21:54que pour les données
21:55ultra sensibles,
21:56il était possible
21:56de mettre en place
21:57ce qu'on appelle
21:58à priori
21:59un data room sécurisé.
22:01Je crois que la caisse
22:01des dépôts
22:02fait ça non plus.
22:03Est-ce que vous pourriez
22:03nous expliquer
22:04alors la question
22:05comment ça marche
22:06et si c'est réservé
22:07uniquement aux appareils
22:11d'État
22:11ou à certaines données
22:13excessivement sensibles ?
22:16Moi je ne suis pas
22:17familière avec ces termes
22:18de data room.
22:19Ce que je peux dire
22:20juste c'est que l'ANSI
22:21a publié un guide
22:22l'été dernier
22:22dans lequel elle explique
22:25que les données
22:26qui sont de type
22:28alors c'est plus
22:29confidentiel défense,
22:30c'est diffusion restreinte.
22:31Diffusion restreinte,
22:32merci Blaise,
22:33le blanc.
22:33les données
22:35de type diffusion restreinte
22:36peuvent aller
22:37dans un cloud
22:37qui porte la qualification
22:38sec non-cloud.
22:39Donc là on est vraiment
22:40dans de la donnée
22:41ultra sensible,
22:42de la donnée
22:42de type
22:43de diffusion restreinte.
22:45Oui on peut penser
22:45aux données militaires,
22:46des choses comme ça,
22:47les renseignements.
22:48Pas toutes les données
22:49militaires,
22:50il y a des choses
22:50qui restent
22:51chez les acteurs
22:53et c'est bien comme ça.
22:54Mais effectivement
22:55il y a maintenant
22:55c'est une ouverture récente
22:57en fait,
22:58jusqu'à il y a peu,
22:59l'ANSI n'avait pas encore
23:00donné le tampon
23:01pour dire c'est bon
23:02diffusion restreinte,
23:02où il faut aller dans le cloud.
23:04Donc là ça y est,
23:04ils ont estimé
23:05que ce référentiel
23:06quand on l'applique
23:07permet d'aller jusqu'à protéger
23:09des données
23:09de type diffusion restreinte.
23:10D'accord,
23:11c'est une question,
23:13est-ce que,
23:14pour faire cette table ronde,
23:17on connaît tous
23:18la situation géopolitique
23:20telle qu'elle est
23:20avec effectivement
23:21un Trump
23:23à la tête
23:24de la première puissance américaine
23:26qui est un peu inquiétante,
23:27une Chine,
23:28une temps puissance de la Chine
23:29qui est aussi un peu inquiétante,
23:32aussi des pays
23:34qui,
23:35j'allais dire,
23:36nourrissent
23:36et envoient
23:37des cyber malfaiteurs
23:39sur la Corée du Nord,
23:40l'Iran.
23:41Est-ce que vous avez l'impression
23:42que là quand même,
23:44par rapport à ce que vous avez vécu,
23:45on est aussi dans une période
23:46où,
23:47en termes de cyber malveillance,
23:50on est vraiment à l'acmé,
23:51on est à un moment de,
23:53j'imagine,
23:53qui est extrêmement tendu,
23:55qui vous demande,
23:56vous aussi,
23:56d'être vigilant
23:57et aussi en perpétuellement
23:59sur la brèche
24:00pour essayer d'anticiper
24:01ce qui pourrait arriver demain.
24:05Alors,
24:05nous,
24:05enfin,
24:06complètement,
24:07on est un point
24:09de non-retour également.
24:12On parle beaucoup
24:13de la souveraineté
24:13là depuis,
24:14sur cette table ronde.
24:16Moi,
24:16j'ai commencé à travailler
24:17sur la souveraineté
24:17il y a 5,
24:186,
24:187 ans.
24:19À l'époque,
24:19on me disait,
24:20on comprend son histoire,
24:22mais t'es gentil,
24:23c'est un peu dans ta tête
24:24et la réalité des choses
24:25est un petit peu différente
24:27et ce n'est pas de mal à veille
24:28que les États-Unis
24:29vont commencer
24:29à interférer,
24:31sont massifs
24:32avec nos systèmes.
24:33Vous vous disiez,
24:33vous vous posez
24:34beaucoup de questions.
24:35Voilà.
24:35Peut-être trop.
24:36On me disait,
24:36t'as des bonnes réponses,
24:37mais il y a des questions
24:38qui ne s'étaient pas forcément.
24:39Donc,
24:39c'était un peu de débat.
24:41Les choses ont évolué
24:42et évoluent toujours.
24:43Il y a également,
24:44vous parliez des cyberattaques,
24:46on a également
24:46des systèmes de SOC,
24:48ce qu'on appelle SOC,
24:48donc Security Operation Center,
24:50donc des systèmes actifs
24:51de protection de la menace
24:54et de détection des menaces.
24:56On voit également,
24:57on a des systèmes
24:58de protection contre les bots,
24:59ce qu'on appelle les bots,
25:00c'est les robots,
25:01des scripts
25:01qui viennent attaquer
25:02les systèmes informatiques
25:03au sens large.
25:04On a une explosion des bots
25:05depuis deux ans
25:06avec l'apparition
25:07de modèles d'IA
25:09qui permettent à des,
25:10en fait,
25:11on suppute,
25:12en fait,
25:12qu'il y a une nouvelle génération
25:14d'attaquants
25:14qui, en fait,
25:16s'essayent
25:17à la cybermenace
25:18et qui demandent,
25:19quelque part,
25:20à ChatGPT
25:20de développer des bots
25:21pour aller attaquer
25:22des systèmes.
25:24On a un nombre
25:24de bots
25:25qui a explosé
25:26depuis deux ans
25:27et des bots
25:28qui sont particulièrement
25:29simples,
25:30en fait,
25:30paradoxalement.
25:32Et de l'autre côté
25:32de l'échelle des bots,
25:33on a également
25:34des attaques
25:35qui sont de plus en plus
25:36complexes.
25:37Et donc,
25:37on pense également
25:38qu'il y a des attaquants
25:39qui sont extrêmement expérimentés
25:41qui vont utiliser l'IA,
25:42encore une fois,
25:42pour functionner,
25:43pour finaliser
25:45et améliorer leurs attaques.
25:46On est vraiment
25:47à un point
25:47où on a
25:48un écosystème géopolitique
25:50qui, lui,
25:52amène de la menace
25:52en tant que tel.
25:53Bien sûr.
25:53Et on a un système
25:54de menace,
25:55une industrie de la menace
25:57qui s'est professionnalisée
25:58avec des systèmes
25:59de bots,
26:00de menaces
26:00as-us-service,
26:01de crime as-us-service,
26:03avec toute une industrie
26:04derrière
26:04qui s'organise
26:05pour fabriquer
26:06de l'économie
26:08de la menace.
26:09Qui, effectivement,
26:10en plus,
26:10c'est vrai qu'on n'en a pas parlé,
26:11avec le boom
26:12de l'intelligence artificielle
26:13et même la démocratisation
26:14de l'intelligence artificielle,
26:15fait que, j'imagine,
26:16ça devient de plus en plus simple
26:18pour les cyberattaquants
26:19aussi de développer
26:20des malwares,
26:21des choses comme ça.
26:22En tout cas,
26:22c'est...
26:23Oui, par rapport
26:24à ces sujets,
26:25en fait,
26:26donc, effectivement,
26:26il y a un créneau,
26:28c'est-à-dire que là,
26:28on voit bien que le sujet
26:29de la protection,
26:30de l'autonomie,
26:31de la souveraineté
26:31sont des sujets
26:32qui parlent heureusement
26:33beaucoup plus
26:34aujourd'hui qu'hier.
26:35Et dans le momentum,
26:37ce qui se passe aussi,
26:38c'est que l'offre s'étoffe.
26:39C'est-à-dire qu'il y a
26:40non seulement
26:41de plus en plus
26:42de sociétés
26:42qui se disent
26:43« Ah ben oui, quand même,
26:44c'est vrai que c'est bien
26:45d'avoir déjà utilisé
26:46pas mal les hyperscalers,
26:47mais il y a des données
26:48qu'on ne veut vraiment
26:49pas mettre chez eux. »
26:50Et hier,
26:52ils regardaient
26:52et l'offre était
26:53encore limitée.
26:55Aujourd'hui,
26:55il n'y a plus besoin
26:56de choisir.
26:56Nous, c'est notre raison
26:58d'être,
26:58c'est qu'il n'y ait pas
26:58à choisir
26:59entre innovation
26:59et confiance.
27:01Aujourd'hui,
27:01c'est possible
27:02de s'attacher
27:03à la protection
27:04des données
27:04tout en restant
27:05dans une logique
27:06de compétitivité financière
27:07et d'innovation.
27:08Oui,
27:08qui est évidemment
27:09aussi important
27:10comme toujours.
27:12Oui, tout à fait.
27:14Vous aviez commencé
27:15votre question
27:15sur l'aspect géopolitique.
27:17C'est vrai que
27:17sur la sévère sécurité,
27:18il y a un changement
27:18de degré.
27:19On voit que ça monte
27:20de plus en plus fort
27:21dans les préoccupations
27:22des dirigeants.
27:22sur la dimension géopolitique,
27:25il y a une prise de conscience.
27:27On n'est plus
27:27sur un changement
27:28de degré.
27:30Il y a quelque chose
27:31qui a émergé.
27:32Oui, vous avez l'impression
27:33que les dirigeants
27:34d'entreprises notamment,
27:35cette fois-ci,
27:36ont clairement compris
27:37qu'il y avait vraiment
27:38un vrai danger
27:39que ça devait être
27:39une de leurs priorités
27:41stratégiques.
27:42Très clairement.
27:42Il y a des appels
27:43d'offres qui sortent
27:44de groupes
27:45qui n'en étaient pas
27:45avant pour référencer
27:47ce qu'on appelle
27:47le club de confiance.
27:48Il y a des signes
27:49tangibles.
27:50J'allais dire,
27:51il faut bien qu'il y ait
27:51quand même
27:52un aspect positif
27:53à cette situation
27:54un petit peu anxiogène.
27:57Merci beaucoup
27:57en tout cas à vous trois.
27:58On a respecté parfaitement
28:00le temps
28:01qui nous a été imparti
28:02à deux minutes près.
28:03C'était très intéressant.
28:04Merci.
28:04En tout cas,
28:04moi, j'ai trouvé ça
28:05très intéressant.
28:06Je ne suis pas forcément
28:06un hyper spécialiste.
28:07J'espère que
28:08nous regarderons
28:09et aurons
28:10six éléments de réponse.
28:12Merci à vous.
28:12Merci.
28:13Merci.
28:13à 1 minute 49.
28:19Alors ça,
28:19ça ne tient pas
28:19du tout
28:20dans mes oreilles.
28:21C'est très désagréable.
28:21J'ai passé tout
28:22mon truc
28:23à les remettre.
28:23C'est vrai.
28:24C'est vrai.
28:24C'est vrai.

Recommandations

1:08
À suivre
Pourquoi le jeudi de l'Ascension est un jour férié ?
Capital
1:03
Quelles autorités assurent la protection des données personnelles en France ?
Capital
1:12
Un pêcheur affirme avoir croisé un crocodile dans une rivière
Gentside Voyage
9:44
La streameuse québécoise Cocottee victime de harcelement à Paris
info24fr
0:12
La streameuse coréenne Jinnytty agressée à Toulouse
info24fr
1:11
Le mochi, ce dessert japonais qui cause plusieurs décès chaque année
Gentside Voyage
1:13
Deux lutteurs se font attaquer par un grizzly en pleine forêt
Gentside Voyage
1:14
Taux de marque : définition, calcul et augmentation
Capital
1:00
Immobilier locatif : le nouvel avantage fiscal du bailleur privé se précise
Capital
8:50
BAB Snapchat Télégram
Capital
1:09
Donald Trump annonce la construction du «Dôme Doré», un bouclier anti missile à 175 milliards
Capital
26:55
Industrie : cybersécurité des infrastructures critiques
Capital
19:48
La cybersécurité face au défi de l'IA
Capital
29:21
Renforcer la sécurité du secteur financier
Capital
26:42
Les données de santé, un enjeu vital pour demain
Capital
0:58
Roland Garros 2025 : y aura-t-il du Perrier sur les courts de tennis parisiens ?
Capital
1:00
Fonction publique : ces fonctionnaires partent dans le privé et renoncent à la sécurité de l'emploi
Capital
1:08
Crédit agricole «met le CAC 40 KO, en Bourse !» L’œil du Loup de Zurich
Capital
4:57
BAB Perrier
Capital
3:23
Indemnité de télétravail : plafond, montant et versement (1)
Capital
1:13
Suite à la polémique sur les "grosses valises" dans le métro, la RATP met les points sur les i
Capital
1:02
Crypto : la contre-attaque de Bruno Retailleau pour protéger les entrepreneurs des tentatives d’enlèvement
Capital
1:00
Investissement immobilier : bientôt zéro impôt sur les plus-values après 10 ans de détention ?
Capital
1:25
«Des clients ont dormi devant le magasin» : la folie des donuts Dunkin’ débarque en France
Capital
1:00
France Travail : 5 formations éligibles au CPF pour les métiers qui recrutent le plus
Capital